FreeRadius no
ISCTE-IUL
Rui Ribeiro
[email protected]
2015
Agenda
•
•
•
•
•
•
Introdução ao Freeradius
Objectivos do FreeRadius
Tecnologias e diagramas de rede
Implementação no ISCTE-IUL
Monitorização da EDUROAM
Resultados do projecto
2
FreeRadius
•
•
•
•
•
•
•
servidor RADIUS opensource
1999, Network RADIUS
modular
scripts/módulos em unlang
mailing lista activa
v2.x legacy, v3.x novas funcionalidades
actual 2.2.6 vs 3.0.7 3.06
3
FreeRadius no ISCTE-IUL
Debian 6
piloto
Debian 7
git
repositório
local
Debian 8
3.0.7
3.0.3
2.2.2
2.1.12
2.1.10
IAS
2005
Ago/2012
Ago/2013
Nov/2013
Ago/2014
Dez/2014
4
Objectivos
•
•
•
•
•
•
aumentar QoS
facilidade gestão
necessidade de estatísticas de utilização
optimizar resolução de problemas
ultrapassar limitações de serviço anterior
automatizar procedimentos
5
Tecnologias
•
•
•
•
•
•
wifi 802.1X
Microsoft AD - autenticação
PEAP e EAP-TTLS
MSCHAPv2 autenticação interna
MySQL logging
roaming federação PT - confederação
EDUROAM
6
7
8
Recursos
•
•
•
•
•
•
Debian 8, 1GB RAM, virtual vmware
disco e NIC paravirtualizados
130MB RAM usados - 5% CPU
150MB/mês detail files gzipado - 1 ano
3 GB logs detail 30 dias
4GB/ano MySQL
9
Desenvolvimento interno
•
•
•
•
•
•
•
recuperação de serviço
unlang estatísticas federação
filtros de utilizador
limites de consumo
realm guest
debs para repositório local
playbook Ansible
10
Monitorização do serviço
•
•
•
•
•
•
NAGIOS
emails, SMSes
MySQL accounting e autenticação
estatísticas -> logs Federação
scripts python
recuperação automática de serviço
11
Tráfego Jan 2014
Download
Upload
800
GB
600
400
200
0
1/1
4/1
7/1
Download
Upload
5.7TB
3.4TB
10/1 13/1 16/1 19/1 22/1 25/1 28/1 31/1
12
iscte.pt vs Roaming
ISCTE
Roaming (iscte.pt)
14000
Utilizadores
10500
7000
3500
0
2013
2014
2015
13
iscte.pt vs Roaming
ISCTE
Roaming (não iscte.pt)
30000
Utilizadores
22500
15000
7500
0
2013
2014
2015
14
iscte.pt vs Roaming 2014
ISCTE
Roaming (não iscte.pt)
12000
Utilizadores
9000
6000
3000
0
Jan Fev Mar Apr May Jun
Jul
Aug Sep Oct Nov Dec
15
autenticações vs Failed 2014
ISCTE fail
Roaming fail (não iscte.pt)
Autenticações
ISCTE
900000 Roaming (não iscte.pt)
675000
450000
225000
0
Jan Fev Mar Apr May Jun
Jul
Aug Sep Oct Nov Dec
16
top Roaming
realm
18
%
13,5
9
4,5
0
campus.ul.pt
iseg.utl.pt
ist.utl.pt
fct.unl.pt
666 realms visitantes
17
top Roaming TLD
90
TLD
%
67,5
45
22,5
0
40 top level domains visitantes
18
top Roaming TLD - sem PT
3
TLD
%
2,25
1,5
0,75
0
40 top level domains visitantes
19
Ganhos do projecto
• Menos uma black-box com adopção de open source
• Aumento de know-how da equipa sobre protocolos e
problemas autenticação
• Debugging de problemas e erros, mais eficiente em
várias camadas do processo
• Desenvolvimento em unlang e scripting
• Melhor instalação - CAT/profiles
20
Conclusão
• Serviço mais estável
• Capacidade de gestão de serviço melhorada
• Capacidade de gestão de logs muito melhorada
em relação ao IAS
• Documentação da implementação, operação e
manutenção do serviço
• Substancialmente menos tickets.
21
Referências
• livro Freeradius EDUROAM PT/ ISCTE-IUL
• https://confluence.fccn.pt/display/WWE/FreeR
adius
• script Ansible para instalação em Debian
• https://github.com/ruyrybeyro/ansiblefreeradius
22